[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE60210575T2 - Verfahren und System zur sicheren Internet Kommunikation in einem Verbindungsverarbeitungssystem - Google Patents

Verfahren und System zur sicheren Internet Kommunikation in einem Verbindungsverarbeitungssystem Download PDF

Info

Publication number
DE60210575T2
DE60210575T2 DE60210575T DE60210575T DE60210575T2 DE 60210575 T2 DE60210575 T2 DE 60210575T2 DE 60210575 T DE60210575 T DE 60210575T DE 60210575 T DE60210575 T DE 60210575T DE 60210575 T2 DE60210575 T2 DE 60210575T2
Authority
DE
Germany
Prior art keywords
session key
end unit
terminal
lists
call
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60210575T
Other languages
English (en)
Other versions
DE60210575D1 (de
Inventor
Levent Holmdel Sasmazel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avaya Technology LLC
Original Assignee
Avaya Technology LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avaya Technology LLC filed Critical Avaya Technology LLC
Application granted granted Critical
Publication of DE60210575D1 publication Critical patent/DE60210575D1/de
Publication of DE60210575T2 publication Critical patent/DE60210575T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

  • Gebiet der Erfindung
  • Die Erfindung betrifft allgemein Rufabwicklungssysteme und spezieller Systeme, bei welchen Anrufe oder andere Kommunikationsvorgänge mit Hilfe eines Anrufkomplexes oder einer anderen Vermittlungseinrichtung zu und von Telefonen Anrufkonzentratoren, Medien-Gateways oder anderen Typen von Endeinheit-Vorrichtungen gelenkt werden.
  • Hintergrund der Erfindung
  • Viele herkömmliche Kommunikationssystem-Anrufkomplexe, beispielsweise Nebenstellenanlagen (PBXs) und andere gebäudebasierte Telefonvermittlungseinrichtungen sind nicht dafür konfiguriert, eine adäquate Sicherheit für Internetprotokoll(IP)-Verbindungen bereitzustellen. Die Sicherheit von IP-Verbindungen, die von bestimmten herkömmlichen Anrufkomplexen abgewickelt werden, kann daher durch eine Reihe unterschiedlicher Typen von Angriffen, darunter ein auch als IP-Spoofing bezeichnetes Fälschen der Quell-IP-Adresse, eine auch als Denial-of-Service bezeichnete Dienstblockade, usw. unterminiert werden. Diese Sicherheitsprobleme werden mit der Zunahme von Voice-over-IP(VoIP)-Kommunikationsvorgängen unter Nutzung herkömmlicher Anrufkomplexe zunehmend bedeutsamer.
  • Den vorstehend erwähnten Sicherheitsproblemen wendet sich im begrenzten Umfang die im Entwurf vorliegende ITU-T-Empfehlung H.235 der International Telecommunication Union (ITU) "Security and Encryption for H Series (H.323 and other H.245 based) Multimedia Terminals", Januar 1998, zu. Leider hat diese ITU-T-Empfehlung eine Reihe von Nachteilen. Beispielsweise stellt die ITU-T-Empfehlung keine adäquaten Protokolle und anderen Verfahren für solche Funktionen wie Schlüsselverwaltung und -verteilung, Schlüsseleinrichtung und -initialisierung sowie Hinzufügen von Teilnehmern zu oder Fallenlassen von Teilnehmern aus einer gegebenen Rufverbindung bereit.
  • Obgleich eine breite Vielfalt von Sicherheitslösungen im Zusammenhang mit der Datenübertragung über das Internet bekannt ist, lassen sich solche Lösungen oft nicht direkt auf den Zusammenhang eines telefonbasierten Rufabwicklungssystems anwenden. Beispielsweise sind diese existierenden Datenübertragungslösungen oft derart konfiguriert, dass sie mit Vorrichtungen arbeiten, die in Form eines Peer-to-Peer-Netzwerks angeordnet sind, und stellen daher keine Verfahren zur Einbindung mehrerer Parteien in Konferenzschaltung in einen sicheren Kanal oder zum Umlegen eines sicheren Kanals auf eine andere Endeinheit-Vorrichtung oder -Anwendung bereit.
  • Ohne adäquate Sicherheit werden herkömmliche Rufabwicklungssysteme, die zur Abwicklung von IP-Verbindungen konfiguriert sind, weiterhin gegenüber den zuvor erwähnten Arten von Angriffen verletzlich sein.
  • Es besteht daher ein Bedarf an Verfahren zur Verbesserung der Sicherheit im Zusammenhang mit der Abwicklung von IP-Verbindungen wie auch anderen Kommunikationsvorgängen in Anrufkomplexen und Endeinheiten eines Rufabwicklungssystems.
  • US-Patent 4,578,530 offenbart ein End-zu-End-Verschlüsselungssystem. Eine Liste von Sitzungsschlüsseln wird in dem Speicher einer Erfassungseinrichtung unterhalten.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung wird dem vorstehend angegebenen Bedarf gerecht, indem sie Verfahren zur Implementierung von sicheren Verbindungen zwischen zwei oder mehr Endeinheiten eines Rufabwicklungssystems über einen Anrufkomplex oder eine andere Kommunikationssystem-Vermittlungseinrichtung bereitstellt.
  • Erfindungsgemäß wird ein Verfahren entsprechend Anspruch 1 zur Verfügung gestellt. Weiter wird erfindungsgemäß eine Vorrichtung entsprechend Anspruch 13 zur Verfügung gestellt. Außerdem wird erfindungsgemäß noch ein Produktionserzeugnis entsprechend Anspruch 25 zur Verfügung gestellt.
  • Entsprechend den Ausführungsformen generieren die Endeinheiten jeweils einen Satz von Sitzungsschlüssellisten einschließlich einer stapelbasierten Sitzungsschlüsselliste für jedes der mit dieser gekoppelten Endgeräte. Die mehreren Sätze von Sitzungsschlüssellisten werden von den Endeinheiten zu dem Anrufkomplex in sicherer Weise als Teil von entsprechenden Authentifizierungsprotokollen, die zwischen den Endeinheiten und dem Anrufkomplex ausgeführt werden, übermittelt. Spezieller kann der Satz von Sitzungsschlüssellisten für eine gegebene der Endeinheiten in verschlüsselter Form von dieser Endeinheit an den Anrufkomplex geliefert werden, und zwar als Teil eines Authentifizierungsprotokolls, das zwischen dieser Endeinheit und dem Anrufkomplex ausgeführt wird.
  • Ein gegebener der Sätze von Sitzungsschlüssellisten kann in einem Speicher des Anrufkomplexes in Form einer Datenstruktur gespeichert werden, welche zumindest ein erstes Sitzungsschlüsselelement und eine Mehrzahl von stapelbasierten Sitzungsschlüssellisten umfasst, wobei jede der stapelbasierten Sitzungsschlüssellisten eine Mehrzahl von Sitzungsschlüsseln umfasst, die einem bestimmten Endgerät zugeordnet sind, das mit der Ursprungsendeinheit gekoppelt ist. Das erste Sitzungsschlüsselelement kann vorzugsweise dafür genutzt werden, sichere Kommunikationsverbindungen zwischen dem Ursprungsendpunkt und dem Anrufkomplex bereitzustellen.
  • Beim Aufbau sicherer Kommunikationsverbindungen zwischen einer Ursprungsendeinheit und einer oder mehreren zusätzlichen Endeinheiten über den Anrufkomplex wählt der Anrufkomplex als einen Endeinheit-zu-Endeinheit-Sitzungsschlüssel einen Sitzungsschlüssel aus einer Sitzungsschlüsselliste in einem gegebenen Satz der Sätze von Sitzungsschlüssellisten, welcher der Ursprungsendeinheit zugeordnet ist, aus. Der ausgewählte Endeinheit-zu-Endeinheit-Sitzungsschlüssel wird genutzt, um sichere Verbindungen zwischen der Ursprungsendeinheit und zumindest einer weiteren Endeinheit über den Anrufkomplex bereitzustellen.
  • Gemäß einer weiteren Ausführungsform wird der gleiche Endeinheit-zu-Endeinheit-Sitzungsschlüssel vorzugsweise für etwaige zusätzliche Endeinheiten genutzt, die nachfolgend in Konferenzschaltung in einen sicheren Kommunikationskanal eingebunden werden, der zwischen der Ursprungsendeinheit und einer spezifizierten Bestimmungsendeinheit aufgebaut ist. Beispielsweise kann der gleiche Endeinheit-zu-Endeinheit-Sitzungsschlüssel zur Kommunikation mit einem zusätzlichen Endgerät genutzt werden, welches in Konferenzschaltung in eine Rufverbindung eingebunden wird, die an einem bestimmten Endgerät eingeleitet wird, das der Ursprungsendeinheit zugeordnet ist, und zwar nach der Verbindung des Anrufs mit einem Bestimmungsendgerät, das der Bestimmungsendeinheit zugeordnet ist. Danach kann ein neuer End-zu-End-Sitzungsschlüssel aus der Sitzungsschlüsselliste, die dem bestimmten Endgerät zugeordnet ist, ausgewählt werden, nachdem das zusätzliche Endgerät, das in Konferenzschaltung eingebunden worden ist, nachfolgend aus der Rufverbindung herausgefallen ist.
  • Entsprechend einer weiteren Ausführungsform können bei Beendigung eines sicheren Kommunikationskanals ein oder mehrere neue Sitzungsschlüssel für die betroffenen Endgeräte generiert werden, sodass eine gewünschte minimale Stapelgröße für die Sitzungsschlüssellisten erhalten bleibt. Beispielsweise kann bei Abschluss der sicheren Verbindungen, die von einem bestimmten Endgerät eingeleitet worden sind, die entsprechende Ursprungsendeinheit zumindest einen zusätzlichen Sitzungsschlüssel generieren, welcher zu der stapelbasierten Sitzungsschlüsselliste für dieses bestimmte Endgerät hinzugefügt wird und welcher in sicherer Weise zur Speicherung an den Anrufkomplex geliefert wird. Der zusätzliche Sitzungsschlüssel kann genutzt werden, um nachfolgende sichere Verbindungen zwischen dem Ursprungsendgerät und zumindest einer anderen Endeinheit über den Anrufkomplex bereitzustellen.
  • Die sicheren Kommunikationsverfahren gemäß der vorliegenden Erfindung schützen in vorteilhafter Weise einen Anrufkomplex, Endeinheiten und andere Elemente eines Rufabwicklungssystems vor IP-Spoofing, Denial-of-Service und anderen Attacken. Die Erfindung macht es somit möglich, IP-Verbindungen in einer sicheren und effizienten Weise in einem solchen Rufabwicklungssystem zu implementieren.
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt ein beispielhaftes Rufabwicklungssystem, in welchem die Erfindung implementiert ist.
  • 2 ist ein Blockdiagramm, das eine beispielhafte Implementierung eines Anrufkomplexes des Systems aus 1 zeigt.
  • 3 zeigt die Datenstruktur von Sitzungsschlüssellisten in einer beispielhaften Ausführungsform der Erfindung.
  • 4 stellt ein Ablaufdiagramm eines Initialisierungsprozesses dar, der zwischen einem Anrufkomplex und einer Endeinheit bei einer beispielhaften Ausführungsform der Erfindung ausgeführt wird.
  • 5 ist ein Diagramm, das einen Authentifizierungsabschnitt des Prozesses aus 4 detaillierter veranschaulicht.
  • Die 6A, 6B, 6C und 6D sind Diagramme, welche die Interaktion zwischen einem Anrufkomplex und mehreren Endeinheiten beim Aufbau einer sicheren Verbindung zwischen den an die Endeinheiten gekoppelten Endgeräten unter Nutzung der erfindungsgemäßen Verfahren darstellen.
  • Detaillierte Beschreibung der Erfindung
  • Die Erfindung wird nachstehend in Verbindung mit einem beispielhaften Rufabwicklungssystem dargestellt. Obgleich die Erfindung zur Nutzung mit beispielsweise einem System mit einer Nebenstellenanlage (PBX) oder einem anderen Anrufkomplex gut geeignet ist, ist die Erfindung nicht auf die Nutzung mit irgendeiner speziellen Art von Kommunikationssystem oder Konfiguration von Systemelementen begrenzt. Fachleute werden erkennen, dass die offenbarten Verfahren bei jeder Kommunikationsanwendung genutzt werden können, bei der es wünschenswert ist, eine bessere Sicherheit für Internetprotokoll(IP)-Verbindungen oder andere ähnliche Arten von Kommunikationsvorgängen, die von einem Anrufkomplex oder einer anderen Art von Kommunikationssystem-Vermittlungseinrichtung abgewickelt werden, bereitzustellen.
  • Der Begriff "Anruf", wie er vorliegend genutzt wird, soll daher nicht nur herkömmliche Telefonanrufe, sondern auch andere Kommunikationsvorgänge wie etwa Voice-over-IP, Datenübertragungen, Faxübertragungen usw. einschließen.
  • Der Begriff "Vermittlungseinrichtung", wie er vorliegend genutzt wird, soll dahingehend verstanden werden, dass er eine Nebenstellenanlage (PBX), eine Firmenvermittlungseinrichtung oder eine andere Art von Telekommunikationssystem-Vermittlungseinrichtung sowie auch andere Arten von prozessorbasierten Kommunikationssteuereinrichtungen wie etwa Server, Computer, Adjuncts usw. einschließt. Ein Anrufkomplex stellt ein Beispiel für eine Art von Vermittlungseinrichtung dar.
  • 1 zeigt ein beispielhaftes Kommunikationssystem 100, in welchem die Erfindung implementiert ist. Das System 100 umfasst einen Anrufkomplex 102, der mit einem Netzwerk 104 und einer Anzahl von Endeinheiten 110-1, 110-2, ... 110-N gekoppelt ist. Den Endeinheiten 110 sind eine Anzahl von Endgeräten 112 zugeordnet. Spezieller ist jeder der Endeinheiten 110-i, i = 1, 2, ... N, ein Satz von Endgeräten zugeordnet, die als Anschluss i01, Anschluss i02, ... Anschluss iXX bezeichnet sind. Diese Anschlüsse entsprechen allgemein Endgerätendpunkten, die von dem Anrufkomplex 102 bedient werden, z. B. kann der Anrufkomplex 102 in herkömmlicher Weise eingehende Anrufe zu diesen Anschlüssen weiterleiten und ausgehende Anrufe von diesen empfangen.
  • Der Anrufkomplex 102 kann in der beispielhaften Ausführungsform z. B. als eine ansonsten herkömmliche Kommunikationssystem-Vermittlungseinrichtung DEFINITY® für Unternehmenskommunikationsdienst (ECS) implementiert sein, die bei der Avaya Inc., Basking Ridge, New Jersey, USA erhältlich ist. Weitere Details, was diese Art von Vermittlungseinrichtung betrifft, finden sich z. B. bei DEFINITY® ECS, Veröffentlichung 9, Administration for Network Connectivity, Ausgabe 2, Dokument Nr. 555-233-504, November 2000. Andere Typen bekannter Vermittlungseinrichtungen können derart konfiguriert werden, dass sie entsprechend den Verfahren der Erfindung arbeiten. Die herkömmlichen Aspekte solcher Vermittlungseinrichtungen sind im Fachgebiet allgemein bekannt und werden daher vorliegend nicht im Einzelnen beschrieben.
  • Die Endeinheiten 110 können als Medien-Gateways, abgesetzte Konzentratoren, Callcenter-Anwendungen, interaktive Sprachausgabe(IVR)-Einheiten oder Teile oder Kombinationen dieser und anderer Einrichtungen implementiert sein.
  • Obwohl für jede der Endeinheiten 110 in der beispielhaften Ausführungsform aus 1 gezeigt ist, dass dieser mehrere Endgeräte zugeordnet sind, stellt dies lediglich ein Beispiel und keine Einschränkung dar. Bei anderen Ausführungsformen kann eine oder können mehrere der Endeinheiten selbst ein einzelnes Endpunktendgerät darstellen, das an den Anrufkomplex gekoppelt ist. Beispielsweise kann eine gegebene der Endeinheiten selbst ein IP-Telefonendgerät oder eine andere Art von drahtgebundenem oder drahtlosem Endgerät darstellen.
  • Die Endgeräte 112 können drahtgebundene Arbeitsplatz-Telefonendgeräte oder jede andere Art von Endgeräten darstellen, die in der Lage sind, mit dem Anrufkomplex 102 zu kommunizieren. Das Wort "Endgerät", wie es vorliegend genutzt wird, soll daher in der Hinsicht verstanden werden, dass es nicht nur drahtgebundene oder drahtlose Arbeitsplatz-Telefonendgeräte einschließt, sondern auch andere Arten von prozessorbasierten Kommunikationsgeräten, darunter, aber nicht ausschließlich Mobiltelefone, Personalcomputer, persönliche digitale Assistenten (PDAs), usw.
  • Der Anrufkomplex 102 kann über eine oder mehrere Amtsleitungen oder ein anderes geeignetes Kommunikationsmedium an das Netzwerk 104 gekoppelt sein. Das Netzwerk 104 kann z. B. ein öffentliches Telefonnetz (PSTN), ein globales Kommunikationsnetz wie etwa das Internet, ein Weitbereichsnetz (WAN), ein Großstadtnetz, ein lokales Netz (LAN), ein Funktelefonnetz oder ein Satellitennetz wie auch Teile oder Kombinationen dieser oder anderer Kommunikationsnetze darstellen.
  • Es sei angemerkt, dass die Erfindung keine spezielle Art von Informationstransportmedium zwischen dem Anrufkomplex 102, dem Netzwerk 104, den Endeinheiten 110 und den Endgeräten 112 erfordert, d. h. die Erfindung kann mit jeder gewünschten Art von Transportmedium wie auch Kombinationen unterschiedlicher Typen von Transportmedien implementiert werden.
  • Wie nachstehend detaillierter beschrieben wird, beinhaltet die vorliegende Erfindung gemäß einem ihrer Aspekte das Konfigurieren des Anrufkomplexes 102 und der Endeinheiten 110 in solcher Weise, dass sichere Verbindungen zwischen diesen Elementen sichergestellt werden. Die Erfindung ist insbesondere gut geeignet zur Nutzung bei der Bereitstellung sicherer IP-Kommunikationsverbindungen zwischen dem Anrufkomplex 102 und den Endeinheiten 110, kann aber auch für andere Arten von Kommunikationsvorgängen genutzt werden.
  • Es sei unterstrichen, dass die Konfiguration des Anrufkomplexes, der Endeinheiten und der Endgeräte, wie sie in 1 gezeigt ist, lediglich dem Zwecke der Veranschaulichung dient und nicht als die Erfindung auf irgendeine spezielle Anordnung von Elementen beschränkend betrachtet werden sollte.
  • 2 zeigt eine detailliertere Ansicht einer möglichen Realisierung des Anrufkomplexes 102 in dem System aus 1. Der Anrufkomplex 102 umfasst bei dieser Implementierung einen Prozessor 200, einen Speicher 202, eine Datenbank 204, eine oder mehrere Schnittstellen 206, ein Koppelnetz 208 und einen Satz von Dienstschaltungen 210. Der Prozessor 200 kann als eine Zentraleinheit (CPU), als Mikroprozessor, anwendungsspezifische integrierte Schaltung (ASIC) oder andere Art von digitalem Datenprozessor sowie auch als verschiedene Teile oder Kombinationen solcher Elemente implementiert sein. Der Speicher 202 kann einen Direktzugriffsspeicher (RAM), einen Nur-Lese-Speicher (ROM) oder Teile oder Kombinationen dieser und anderer Arten von elektronischen Speichereinrichtungen darstellen.
  • Der Prozessor 200, der in Verbindung mit dem Speicher 202 arbeitet, führt ein oder mehrere Softwareprogramme zum Bereitstellen sicherer Kommunikation oder anderer Funktionen in dem Anrufkomplex 102 aus. Die sicheren Kommunikationsverfahren gemäß der Erfindung werden nachstehend in Verbindung mit den 3 bis 6 detaillierter beschrieben. Solche Programme können in dem Speicher 202 oder einer anderen Speichereinrichtung, auf die der Anrufkomplex 102 Zugriff hat, gespeichert sein und können von dem Prozessor 200 in herkömmlicher Weise ausgeführt werden.
  • Die Datenbank 204 kann z. B. eine auf einer optischen oder magnetischen Platte basierende Speichereinrichtung oder eine andere herkömmliche Speichereinrichtung darstellen, die mit dem Anrufkomplex 102 verknüpft ist oder anderweitig für diesen zugänglich ist. Die Datenbank 204 kann genutzt werden, um z. B. Merkmalverwaltungsdaten, Systemkonfigurationsdaten, usw. zu speichern.
  • Die Dienstschaltungen 210 können Tongeneratoren, Ansageschaltungen usw. umfassen. Diese Schaltungen und die Schnittstellen 206 werden bei der Implementierung von Anrufabwicklungsfunktionen in dem Anrufkomplex 102 durch den Prozessor 200 gesteuert.
  • Der Anrufkomplex 102 kann zusätzliche Elemente umfassen, die in 2 der einfacheren und klareren Darstellung halber weggelassen sind. Beispielsweise kann der Anrufkomplex eine Anschlusskarte für jeden Typ von diesem zugeordneter/m Endeinheit oder Endgerät umfassen. Außerdem wird für Fachleute auf dem Gebiet zu erkennen sein, dass der Anrufkomplex 102 derart konfiguriert werden kann, dass er mehrere Endeinheiten und Endgeräte unterschiedlicher Typen unterstützt, z. B. drahtgebundene Arbeitsplatz-Endgeräte, drahtlose Arbeitsplatz-Endgeräte, Personalcomputer, Videotelefone oder andere hoch entwickelte Endgeräte, usw.
  • Außerdem kann dem Anrufkomplex 102 ein (nicht gezeigtes) Administratorendgerät zugeordnet sein, welches genutzt wird, um den Betrieb des Anrufkomplexes 102 während einer Systemadministration, z. B. einer anfänglichen Einrichtung und Konfiguration des Systems oder einer nachfolgenden Umkonfiguration auf Systemebene oder Nutzerebene, zu programmieren.
  • Andere Einrichtungen, die nicht in den Figuren gezeigt sind, können dem Anrufkomplex 102 zugeordnet sein, beispielsweise ein Adjunctmerkmalserver. Ein solcher Adjunct kann technisch in den Anrufkomplex integriert sein und kann teilweise oder vollständig unter Nutzung anderer Elemente des Anrufkomplexes, wie etwa des Prozessors 200 und des Speichers 202, implementiert sein.
  • Die Endeinheiten und Endgeräte des Systems 100 können jeweils in ähnlicher Weise wie der in 2 gezeigten konfiguriert sein, z. B. können sie wie zuvor beschrieben einen Prozessor, einen zugeordneten Speicher und eine oder mehrere Schnittstellen umfassen.
  • 3 stellt eine Datenstruktur 300 von Sitzungsschlüssellisten dar, die bei der beispielhaften Ausführungsform der Erfindung zur Bereitstellung sicherer Verbindungen zwischen dem Anrufkomplex 102 und einer gegebenen der Endeinheiten 110 genutzt wird. Für dieses Beispiel sei angenommen, dass die gegebene Endeinheit die Endeinheit 110-1 darstellt, welcher der Anschluss 101, der Anschluss 102, ... Anschluss 1XX zugeordnet ist, obgleich verstanden werden sollte, dass für jede der anderen Endeinheiten 110 vorzugsweise analoge Strukturen konfiguriert sind.
  • Die Datenstruktur 300 von Sitzungsschlüssellisten für die Endeinheit 110-1 umfasst einen Satz von Sitzungsschlüssellisten 310, wobei jede der Listen ein oder mehrere Sitzungsschlüsselelemente enthält. Spezieller umfasst der Satz von Sitzungsschlüssellisten in der beispielhaften Ausführungsform die mit SKLST[0], SKLST[101], SKLST[102], ... SKLST[1XX] bezeichneten Sitzungsschlüssellisten. Die Sitzungsschlüsselliste SKLST[0] umfasst nur ein einziges Element, wie gezeigt ist, während jede der anderen Sitzungsschlüssellisten SKLST[101], SKLST[102], ... SKLST[1XX], die dem Anschluss 101, dem Anschluss 102, ... dem Anschluss 1XX für jeweilige Endgeräte entsprechen, eine Tabelle mit jeweils M Sitzungsschlüsseln 312-1, 312-2, ... 312-XX umfasst. Die Tabellen 312 werden vorliegend auch als Sitzungsschlüssel- "stapel" bezeichnet. Ein geeigneter Wert für M beträgt bei der beispielhaften Ausführungsform zehn, obgleich auch andere Werte genutzt werden könnten. Die Sitzungsschlüsselstapel können mit Hilfe herkömmlicher Stapelverarbeitungsvorgänge verarbeitet werden, beispielsweise mit Drauflege- oder Abhebe-Vorgängen, so genannten Push- oder Pop-Vorgängen, wie Fachleute auf dem Gebiet erkennen werden.
  • Es sei angemerkt, dass, obgleich jede der Tabellen 312 aus dem Beispiel der 3 die gleiche Anzahl von Sitzungsschlüsseln enthält, dies lediglich ein Beispiel und keine Einschränkung darstellt. Bei anderen Ausführungsformen können andere Sitzungsschlüsseltabellen eine andere Anzahl von Elementen enthalten. Außerdem kann die erste Sitzungsschlüsselliste SKLST[0] mehr als ein einziges Sitzungsschlüsselelement enthalten, z. B. kann sie eine Tabelle oder einen Stapel mit M Sitzungsschlüsselelementen wie die anderen Sitzungsschlüssellisten in 3 enthalten.
  • Die Art und Weise, in welcher die Datenstruktur 300 für Sitzungsschlüssellisten aus 3 bei der Bereitstellung sicherer Verbindungen zwischen dem Anrufkomplex 102 und einer oder mehreren der Endeinheiten 110 genutzt wird, soll nun mit Bezug auf die 4, 5 und 6 beschrieben werden.
  • Erfindungsgemäß ist dem Anrufkomplex 102 und jeder der Endeinheiten 110 ein Schlüsselpaar der Public-Key-Verschlüsselung (Verschlüsselung mit öffentlichem Schlüssel) zugeordnet. Das Schlüsselpaar des Anrufkomplexes kann als ein Hauptschüsselpaar betrachtet werden, und dieses Hauptschlüsselpaar sowie jedes der Endeinheiten-Schlüsselpaare sind bevorzugt asymmetrische Schlüsselpaare. Weitere Details, was Schlüsselpaare für die herkömmliche Verschlüsselung mit öffentlichem Schlüssel betrifft, finden sich z. B. bei A.J. Menezes et al., "Handbook of Applied Cryptography", CRC Press, 1997.
  • Die vorstehend erwähnten Schlüsselpaare für den Anrufkomplex 102 und die Endeinheiten 110 können von einem Einrichter während einer Einrichtungsphase des Systems 100 generiert werden. Die Public-Key-Elemente aller Schlüsselelemente werden in dem Anrufkomplex 102 gespeichert, und die Endeinheiten-Schlüsselpaare werden in deren jeweiligen Endeinheiten gespeichert.
  • 4 stellt einen Initialisierungsprozess dar, der zwischen dem Anrufkomplex 102 und einer gegebenen der Endeinheiten 110 bei einer beispielhaften Ausführungsform der Erfindung ausgeführt wird. Diese Initialisierung kann zwischen dem Anrufkomplex und jeder der Endeinheiten ausgeführt werden, z. B. beim Hochfahren des Systems oder nach einer systemweiten Umkonfiguration, oder kann zwischen dem Anrufkomplex und einer bestimmten Endeinheit ausgeführt werden, z. B. einer Endeinheit, die zu einem bereits konfigurierten System hinzugefügt wird. Der Anrufkomplex authentifiziert also vorzugsweise jede der Endeinheiten in einer Weise analog der in 4 gezeigten.
  • In Schritt 400 aus 4 generiert eine gegebene Endeinheit 110 Sitzungsschlüssellisten für die ihr zugeordneten Endgeräte. Die Sitzungsschlüssellisten weisen bevorzugt die Form der Datenstruktur 300 auf, die vorstehend in Verbindung mit 3 beschrieben worden ist, d. h. der Satz von Sitzungsschlüssellisten 310 für die Endeinheit 110-1 wird die mit SKLST[0], SKLST[101], SKLST[102], ... SKLST[1XX] bezeichneten Sitzungsschlüssellisten umfassen. Wie zuvor angegeben, umfasst die Sitzungsschlüsselliste SKLST[0] nur ein einziges Element, während jede der anderen Sitzungsschlüssellisten eine Tabelle mit M Sitzungsschlüsseln umfasst. Die Sitzungsschlüssel können mit Hilfe bekannter Verfahren anhand des asymmetrischen Schlüsselpaars der Endeinheit generiert werden.
  • Nach der Generierung der Sitzungsschlüssellisten sendet die Endeinheit in Schritt 402 dann eine Authentifizierungsanforderung an den Anrufkomplex, und der Anrufkomplex versucht in Schritt 404, die Anforderung zu validieren, indem er feststellt, ob er zuvor einen Schlüssel für die Endeinheit gespeichert hat. Die Endeinheit sendet in Ansprechen darauf ihre Sitzungsschlüsselliste an den Anrufkomplex, und zwar mit Hilfe der ihr zugeordneten asymmetrischen Schlüsselstruktur, wie in Schritt 406 angegeben ist. Wenn der Anrufkomplex keinen gespeicherten Schlüssel für die Endeinheit finden kann, werden alle von der Endeinheit eingehenden Nachrichten unmittelbar fallen gelassen. Schritt 408 gibt an, dass die Endeinheit das Element SKLST[0] aus der Sitzungsschlüsselliste für die weitere Kommunikation mit dem Anrufkomplex nutzt.
  • 5 zeigt ein detaillierteres Beispiel für den Authentifizierungsteil des Prozesses aus 4. Dieses Authentifizierungsprotokoll ermöglicht es dem Anrufkomplex, die Legimitation der Endeinheit zu bestätigen und umgekehrt. Bezüge auf die entsprechenden Schritte des Prozesses aus 4 sind in der folgenden Beschreibung des Authentifizierungsprotokolls von 5 enthalten.
  • Das Authentifizierungsprotokoll wird bei dieser Ausführungsform durch die Endeinheit eingeleitet, d. h. durch eine der Endeinheiten 110 aus 1. Die Endeinheit generiert einen Endeinheit-Sitzungsschlüssel als eine Zufallszahl und verschlüsselt dann den Endeinheit-Sitzungsschlüssel unter Nutzung eines geheimen Schlüssels (engl. private key) der Endeinheit, wodurch das Element ESKe generiert wird. Sie verschlüsselt außerdem einen Endeinheit-Kenncode unter Nutzung des öffentlichen Schlüssels des Anrufkomplexes, wodurch das Element EEUIDe generiert wird. Danach sendet sie eine Authentifizierungsanforderung an den Anrufkomplex, wie zuvor in Verbindung mit Schritt 402 aus 4 angegeben worden ist. Die Authentifizierungsanforderung enthält die Elemente EEUIDe und ESKe.
  • Der Anrufkomplex identifiziert dann die Anforderung, d. h. er validiert die Anforderung, wie zuvor in Verbindung mit Schritt 404 aus 4 angegeben worden ist. Wenn die Anforderung nicht gültig ist, wird sie fallen gelassen. Der Anrufkomplex validiert die Anforderung, indem er zuerst den Endeinheit-Kenncode durch Entschlüsselung der EEUIDe mit Hilfe des geheimen Schlüssels des Anrufkomplexes entschlüsselt. Wenn der festgestellte Endeinheit-Kenncode existiert, d. h. der Endeinheit-Kenncode demjenigen einer legitimierten Endeinheit entspricht, die zur Kommunikation mit dem Anrufkomplex berechtigt ist, ruft der Anrufkomplex aus dem Speicher den öffentlichen Schüssel für die Endeinheit ab. Der Anrufkomplex bestimmt dann den Sitzungsschlüssel der Endeinheit durch Entschlüsselung des ESKe mit Hilfe des öffentlichen Schlüssels der Endeinheit.
  • Es wird dann eine verschlüsselte Bestätigung ACKe generiert, indem eine Bestätigung ACK mit Hilfe des bestimmten Endeinheit-Sitzungsschlüssels verschlüsselt wird. Der Anrufkomplex wird dann Sitzungsdaten mit Hilfe der IP-Adresse der Endeinheit sowie des Kenncodes der Endeinheit erzeugen. Danach sendet der Anrufkomplex die verschlüsselte Registrierungsbestätigung ACKe zurück an die Endeinheit.
  • Die Endeinheit generiert in Reaktion darauf eine verschlüsselte Sitzungsschlüsselliste SKLSTe durch Verschlüsseln einer zuvor generierten Sitzungsschlüsselliste SKLST unter Verwendung des Endeinheit-Sitzungsschlüssels. Die Sitzungsschlüsselliste SKLST wird, wie zuvor in Verbindung mit Schritt 400 aus 4 angegeben, generiert. Die Sitzungsschlüsselliste SKLST für die Endeinheit 110-1 kann beispielshalber die Elemente SKLST[0], SKLST[101], SKLST[102], ... SKLST[1XX] enthalten, wie zuvor im Zusammenhang mit 3 beschrieben. Die verschlüsselte Sitzungsschlüsselliste SKLSTe wird dann an den Anrufkomplex gesendet, wie zuvor in Verbindung mit Schritt 406 aus 4 angegeben worden ist.
  • Der Anrufkomplex entschlüsselt bei Empfang der verschlüsselten Sitzungsschlüsselliste SKLSTe von der Endeinheit die SKLSTe mit Hilfe des Endeinheit-Sitzungsschlüssels und setzt den Endeinheit-Sitzungsschlüssel auf das erste Element in der Sitzungsschlüsselliste, d. h. SKLST[0], zurück. Der Anrufkomplex generiert dann eine verschlüsselte Bestätigung ACKe durch Verschlüsselung einer Bestätigung ACK mit Hilfe des neuen Endeinheit-Sitzungsschlüssels SKLST[0]. Danach sendet der Anrufkomplex die verschlüsselte Registrierungsbestätigung ACKe zurück an die Endeinheit.
  • Die Endeinheit setzt den Endeinheit-Sitzungsschlüssel auf das erste Element in der Sitzungsschlüsselliste, d. h. SKLST[0]. Die Endeinheit nutzt diesen Sitzungsschlüssel SKLST[0] für jede weitere Kommunikation mit dem Anrufkomplex während der bezeichneten Sitzung, wie bereits in Verbindung mit Schritt 408 aus 4 angegeben worden ist.
  • Wie anhand des vorstehenden Beispiels deutlich wird, nutzt jede Endeinheit bei der Authentifizierung das Element SKLST[0] in seiner Sitzungsschlüsselliste SKLST für die weitere Kommunikation mit dem Anrufkomplex. Der Anrufkomplex stellt außerdem die Funktionalität eines sicheren Kanals zwischen zwei oder mehr Endeinheiten während einer Sitzungsschlüssel-Verhandlungsphase zwischen den Endeinheiten bereit, wie nachstehend in Verbindung mit den 6A bis 6D dargestellt werden soll. Nach Einrichtung eines Sitzungsschlüssels zwischen zwei oder mehr Endeinheiten werden diese Endeinheiten den eingerichteten Sitzungsschlüssel für die Kommunikation zwischen sich nutzen. Wie zuvor angegeben, erfolgt die gesamte Kommunikation zwischen einer gegebenen Endeinheit und dem Anrufkomplex mit Hilfe des ersten Elements SKLST[0] der Sitzungsschlüsselliste für diese Endeinheit. Am Ende einer Sitzung zwischen einer gegebenen Endeinheit und weiteren Endeinheiten wird der genutzte Sitzungsschlüssel zerstört, und für die nächste Sitzung wird das nächste Element der entsprechenden stapelbasierten Sitzungsschlüsselliste für die gegebene Endeinheit genutzt. Die gegebene Endeinheit ist verantwortlich für die Erzeugung einer neuen Sitzungsschlüsselliste, wann immer eine solche Liste erforderlich ist, und zwar durch weitere Interaktion mit dem Anrufkomplex in analoger Weise wie zuvor in Verbindung mit den 4 und 5 beschrieben. Wenn von der gegebenen Endeinheit eine neue Sitzungsschlüsselliste erzeugt und die Endeinheit erneut durch den Anrufkomplex authentifiziert wird, dann wird das neue SKLST[0]-Element für weitere Kommunikationen zwischen diesen genutzt. Jede Endeinheit kann daher den Initialisierungsprozess aus 4 reinitiieren, um ihre Sitzungsschlüsselliste neu zu erzeugen.
  • Es sei angemerkt, dass alle an einer gegebenen Endeinheit eingehenden Nachrichten unter Verwendung eines entsprechenden Sitzungsschlüssels, der in der zuvor beschriebenen Weise bestimmt wird, verschlüsselt sind. Wenn irgendwelche dieser eingehenden Nachrichten an der Endeinheit nicht richtig entschlüsselt werden können, sollten diese unmittelbar fallen gelassen werden.
  • Die 6A bis 6D stellen die Funktionsweise eines Anrufprozesses dar, der von der Endeinheit 110-1 des Systems aus 1 initiiert wird, die auch als Endeinheit 1 bezeichnet wird. Spezieller zeigt 6A die Einrichtung einer sicheren Kommunikationsverbindung zwischen einem Endgerät (Anschluss 105) der Endeinheit 1 und einem Endgerät (Anschluss 201) einer anderen Endeinheit, d. h. der Endeinheit 110-2 aus 1, die auch als Endeinheit 2 bezeichnet wird. 6B stellt die Art und Weise dar, in welcher ein Endgerät (Anschluss 311) einer noch anderen Endeinheit, d. h. der Endeinheit 110-3 aus 1, die auch als Endeinheit 3 bezeichnet wird, in Konferenzschaltung in die bestehende sichere Verbindung zwischen den Endgeräten der Endeinheiten 1 und 2 eingebunden wird. 6C stellt die Art und Weise dar, in welcher die Endeinheit 1 das Endgerät der Endeinheit 3 aus der bestehenden sicheren Verbindung zwischen den Endgeräten der Endeinheiten 1 und 2 herausfallen lässt. 6D zeigt die bestehende sichere Verbindung zwischen den Endgeräten der Endeinheiten 1 und 2 sowie die Art und Weise, in welcher diese sichere Verbindung beendet wird und ein neuer Sitzungsschlüssel für das Ursprungsendgerät (Anschluss 105) durch eine Interaktion zwischen dem Endgerät 1 und dem Anrufkomplex bestimmt wird. Alle diese Figuren werden nachstehend detaillierter beschrieben.
  • Nehmen wir auf 6A Bezug, so initiiert die Endeinheit 1 eine Verbindungsanforderung von einem ihrer Endgeräte aus, das dem Anschluss 105 entspricht, zu einem weiteren Endgerät, das dem der Endeinheit 2 zugeordneten Anschluss 201 entspricht. Der Anrufkomplex bestimmt zuerst, ob die IP-Adresse der Endeinheit, welche die eingehende Verbindungsanforderung tätigt (die Endeinheit 1), zuvor bei dem Anrufkomplex registriert worden ist, z. B. mit Hilfe des Initialisierungsprozesses aus 4. Falls nicht, wird die Anforderung fallen gelassen. Ansonsten nutzt der Anrufkomplex die IP-Adresse der Endeinheit, welche die Verbindungsanforderung tätigt (Endeinheit 1), um den entsprechenden Endeinheit-Sitzungsschlüssel zu bestimmen. Der Anrufkomplex erhält dann die Daten der Verbindungsanforderung, indem er einen Eingangspuffer mit Hilfe des bestimmten Endeinheit-Sitzungsschlüssels entschlüsselt.
  • Bei der vorliegenden Ausführungsform bezeichnet der Begriff "Eingangspuffer" einen Puffer, welcher dem Speicher des Anrufkomplexes zugeordnet ist, zum Speichern verschlüsselter Informationen. Dieser steht im Gegensatz zu dem Begriff "Klartextpuffer", der sich auf einen Puffer bezieht, der ebenfalls dem Speicher des Anrufkomplexes zugeordnet ist, und zwar zum Speichern entsprechender Klartextinformationen, d. h. der entschlüsselten Informationen, die sich aus der Entschlüsselung der in dem Eingangspuffer enthaltenen verschlüsselten Informationen ergeben. Es sollte jedoch erkannt werden, dass die Erfindung keine spezielle Pufferkonfiguration erfordert.
  • Die resultierenden Verbindungsanforderungsdaten befinden sich in ihrer entschlüsselten Form in dem bereits erwähnten Klartextpuffer. Der Anrufkomplex untersucht den Klartextpuffer, um festzustellen, ob die Verbindungsanforderungsdaten den entsprechenden Endeinheit-Registrierungsnamen für die Endeinheit 1 enthalten, z. B. die Endeinheitkennung, auf welche in dem Authentifizierungsprotokoll aus 5 Bezug genommen worden ist. Falls nicht, wird die Verbindungsanforderung fallen gelassen. Ansonsten wird der Verbindungsprozess damit fortgeführt, dass der Anrufkomplex als einen Endeinheit-zu-Endeinheit-Sitzungsschlüssel EUEUSK den obersten Schlüssel des Stapels 312-5 der Sitzungsschlüsselliste SKLST[105] festlegt. Der Anrufkomplex bestimmt dann als einen Nachrichtenschlüssel den entsprechenden Sitzungsschlüssel für den Anschluss 201, z. B. bestimmt er als Sitzungsschlüssel den obersten Schlüssel eines Stapels, welcher der Sitzungsschlüsselliste SKLST[201] zugeordnet ist, die von der Endeinheit 2 für den Anschluss 201 eingerichtet worden ist.
  • Der Anrufkomplex sendet dann die eingehende Verbindungsanforderung in verschlüsselter Form an die Endeinheit 2, wie in 6A angegeben. Die an die Endeinheit 2 gesendete Anforderung ist mit Hilfe des bereits erwähnten Nachrichtenschlüssels verschlüsselt und enthält vorzugsweise die IP-Adresse der Ursprungsendeinheit sowie Echtzeitprotokoll(RTP)-Portinformationen (insgesamt als oIP bezeichnet), Kenncodes für das Bestimmungsendgerät (Anschluss 201) und das einleitende Endgerät (Anschluss 105) sowie den Endeinheit-zu-Endeinheit-Sitzungsschlüssel EUEUSK.
  • Weitere Informationen, was RTP betrifft, sind z. B. zu finden unter http://www.ietf.org/internet-drafts/draft-ietf-avt-rtp-new-03.txt. Es sei angemerkt, dass ein leitungsvermittelter Strom oder eine andere Art von Nicht-RTP-Strom indirekt kontrolliert werden kann, indem er z. B. zuerst in einen RTP-Strom umgewandelt wird, typischerweise mit Hilfe eines herkömmlichen Leitungspaket-Gateways. Es sei betont, dass dies lediglich ein Beispiel darstellt und dass die Erfindung mit Hilfe anderer Protokolle und anderer Anordnungen von Vermittlungseinrichtungen und Vorrichtungen implementiert werden kann.
  • Die Endeinheit 2 überprüft bei Empfang der eingehenden Verbindungsanforderung von dem Anrufkomplex als erstes, ob die IP-Adresse der eingehenden Anforderung diejenige des Anrufkomplexes ist. Falls nicht, wird die Anforderung fallen gelassen. Ansonsten wird der Prozess fortgeführt, indem die Endeinheit 2 den Eingangspuffer entschlüsselt, der die eingehenden Verbindungsanforderungsinformationen enthält, und zwar mit Hilfe des Endeinheit-Sitzungsschlüssels SKLST[0], der zwischen der Endeinheit 2 und dem Anrufkomplex in der zuvor beschriebenen Weise eingerichtet worden ist. Wenn der Klartextpuffer, der die entschlüsselten Informationen der Verbindungsanforderung enthält, nicht den Registrierungsnamen der Endeinheit 2 beinhaltet, z. B. den zuvor erwähnten Endeinheit-Kenncode für die Endeinheit 2, wird die Anforderung fallen gelassen. Ansonsten setzt die Endeinheit 2 als Sitzungsschlüssel für die eingehende Verbindungsanforderung den Endeinheit-zu-Endeinheit-Sitzungsschlüssel EUEUSK fest und sendet eine Verbindungsakzeptanzanzeige an die Endeinheit 1. Die Verbindungsakzeptanzanzeige enthält vorzugsweise RTP-Informationen der Endeinheit 2, die mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK verschlüsselt sind.
  • Ab Empfang der Verbindungsakzeptanzanzeige von der Endeinheit 2 kommuniziert die Endeinheit 1 über verschlüsselte Sprachpakete mit der Endeinheit 2, wie in der Figur angegeben ist. Spezieller sendet die Endeinheit 1 ein gegebenes Sprachpaket aus dem Klartextpuffer, indem sie dieses mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK verschlüsselt und das verschlüsselte Paket an die Endeinheit 2 sendet. Die Endeinheit 2 empfängt das verschlüsselte Sprachpaket in ihrem Eingangspuffer und entschlüsselt es mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK. Analog sendet die Endeinheit 2 ein gegebenes Sprachpaket aus ihrem Klartextpuffer, indem sie es mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK verschlüsselt und das verschlüsselte Paket an die Endeinheit 1 sendet. Die Endeinheit 1 empfängt das verschlüsselte Sprachpaket in ihrem Eingangspuffer und entschlüsselt es mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK. Dieser Prozess kann für die Dauer der sicheren Kommunikationsverbindung fortgesetzt werden.
  • Wie bereits angegeben, veranschaulichen die restlichen Figuren, d. h. die 6B, 6C und 6D, das Hinzufügen eines weiteren Endgeräts (Anschluss 311) zu der bestehenden sicheren Verbindung, das nachfolgende Herausfallenlassen dieses Endgeräts aus der Rufverbindung sowie die Beendigung der sicheren Verbindung mit dem Aktualisieren der Sitzungsschlüssellisten, um nachfolgenden sicheren Verbindungen, an denen das gleiche einleitende Endgerät (Anschluss 105) beteiligt ist, Rechnung zu tragen.
  • Nehmen wir nun auf 6B Bezug, so sendet die Endeinheit 1 eine Konferenzschaltungsanforderung an den Anrufkomplex. Die Konferenzschaltungsanforderung stellt eine Anforderung zum Einbinden des Anschlusses 311, welcher der Endeinheit 110-3 (Endeinheit 3) zugeordnet ist, in Konferenzschaltung in die bestehende sichere Verbindung dar, die durch den Anschluss 105 eingeleitet worden ist. Die Konferenzschaltungsanforderung ist mit Hilfe des Sitzungsschlüssels SKLST[0] der Endeinheit 1 verschlüsselt, welcher zuvor zur Kommunikation zwischen der Endeinheit 1 und dem Anrufkomplex authentifiziert worden ist. Der Anrufkomplex stellt bei Empfang der Konferenzschaltungsanforderung zuerst fest, ob die IP-Adresse der Endeinheit, welche die Konferenzschaltungsanforderung tätigt (Endeinheit 1), zuvor bei dem Anrufkomplex registriert worden ist, z. B. unter Verwendung des Initialisierungsprozesses aus 4. Falls nicht, wird die Anforderung fallen gelassen. Ansonsten nutzt der Anrufkomplex die IP-Adresse der Endeinheit, welche die Konferenzschaltungsanforderung tätigt (Endeinheit 1), um den entsprechenden Endeinheit-Sitzungsschlüssel zu bestimmen. Der Anrufkomplex erhält dann die Daten der Konferenzschaltungsanforderung durch Entschlüsseln eines Eingangspuffers mit Hilfe des bestimmten Endeinheit-Sitzungsschlüssels, d. h. des Endeinheit-Sitzungsschlüssels SKLST[0], der zuvor für die Kommunikation zwischen der Endeinheit 1 und dem Anrufkomplex authentifiziert worden ist.
  • Die resultierenden Daten der Konferenzschaltungsanforderung befinden sich in ihrer unverschlüsselten Form in dem zuvor erwähnten Klartextpuffer des Anrufkomplexes. Der Anrufkomplex untersucht den Klartextpuffer, um festzustellen, ob die Konferenzschaltungsanforderungsdaten den entsprechenden Endeinheit-Registrierungsnamen für die Endeinheit 1 enthalten, z. B. die Endeinheitkennung, auf die in dem Authentifizierungsprotokoll aus 5 Bezug genommen worden ist. Falls nicht, wird die Konferenzschaltungsanforderung fallen gelassen. Ansonsten wird der Prozess damit fortgeführt, dass der Anrufkomplex als einen Endeinheit-zu-Endeinheit-Schlüssel EUEUSK den obersten Schlüssel des Stapels 312-5 der Sitzungsschlüsselliste SKLST[105] bestimmt. Der Anrufkomplex bestimmt dann als einen Nachrichtenschlüssel den entsprechenden Sitzungsschlüssel für den Anschluss 311, z. B. bestimmt er als den Sitzungsschlüssel den obersten Schlüssel eines Stapels, welcher der Sitzungsschlüsselliste SKLST[311] zugeordnet ist, die von der Endeinheit 3 für den Anschluss 311 eingerichtet worden ist.
  • Der Anrufkomplex sendet dann die eingehende Konferenzschaltungsanforderung in verschlüsselter Form an die Endeinheit 3, wie in 6B angegeben. Die an die Endeinheit 3 gesendete Anforderung ist mit Hilfe des zuvor erwähnten Nachrichtenschlüssels verschlüsselt und umfasst bevorzugt die IP-Adresse der Ursprungsendeinheit und RTP-Portinformationen (zusammen als oIP bezeichnet), Kenncodes für das Bestimmungsendgerät (Anschluss 311) und das Ursprungsendgerät (Anschluss 105) sowie den Endeinheit-zu-Endeinheit-Sitzungsschlüssel EUEUSK.
  • Die Endeinheit 3 prüft bei Empfang der eingehenden Konferenzschaltungsanforderung von dem Anrufkomplex zuerst, ob die IP-Adresse der eingehenden Anforderung diejenige des Anrufkomplexes ist. Falls nicht, wird die Anforderung fallen gelassen. Ansonsten wird der Prozess damit fortgeführt, dass die Endeinheit 3 den Eingangspuffer, der die eingehenden Informationen der Konferenzschaltungsanforderung enthält, mit Hilfe des Endeinheit-Sitzungsschlüssels SKLST[0] entschlüsselt, der zwischen der Endeinheit 3 und dem Anrufkomplex in der zuvor beschriebenen Weise eingerichtet worden ist. Wenn der Klartextpuffer, der die entschlüsselten Konferenzanforderungsinformationen enthält, nicht den Registrierungsnamen der Endeinheit 3 enthält, z. B. den zuvor erwähnten Endeinheit-Kenncode für die Endeinheit 3, wird die Anforderung fallen gelassen. Ansonsten setzt die Endeinheit 3 als Sitzungsschlüssel für die eingehende Konferenzschaltungsanforderung den Endeinheit-zu-Endeinheit-Sitzungsschlüssel EUEUSK fest und sendet eine Konferenzakzeptanzanzeige an die Endeinheit 1. Die Konferenzakzeptanzanzeige enthält bevorzugt RTP-Informationen der Endeinheit 3, die mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK verschlüsselt sind.
  • Nach Empfang der Konferenzakzeptanzanzeige von der Endeinheit 3 kommuniziert die Endeinheit 1 über verschlüsselte Sprachpakete mit der Endeinheit 3, wie in der Figur angegeben. Spezieller sendet die Endeinheit 1 ein gegebenes Sprachpaket aus dem Klartextpuffer, indem sie dieses mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK verschlüsselt und das verschlüsselte Paket an die Endeinheit 3 sendet. Die Endeinheit 3 empfängt das verschlüsselte Sprachpaket in ihrem Eingangspuffer und entschlüsselt es mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK. Analog sendet die Endeinheit 3 ein gegebenes Sprachpaket aus ihrem Klartextpuffer, indem sie dieses mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK verschlüsselt und das verschlüsselte Paket an die Endeinheit 1 sendet. Die Endeinheit 1 empfängt das verschlüsselte Sprachpaket in ihrem Eingangspuffer und entschlüsselt es mit Hilfe des Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK. Der Anschluss 311 ist somit in Konferenzschaltung in die bestehende sichere Verbindung zwischen den Einschlüssen 105 und 201 eingebunden.
  • 6C stellt das nachfolgende Herausfallenlassen des in Konferenzschaltung eingebundenen Anschlusses 311 aus der bestehenden sicheren Verbindung zwischen den Anschlüssen 105 und 201 dar. Die Endeinheit 1 sendet an den Anrufkomplex eine Anforderung zum Herausfallenlassen des Anschlusses 311 aus der Sitzung. Die Anforderung ist mit Hilfe des Endeinheit-Sitzungsschlüssels SKLST[0] verschlüsselt, der zuvor für die Kommunikation zwischen der Endeinheit 1 und dem Anrufkomplex authentifiziert worden ist. Der Anrufkomplex stellt bei Empfang der Anforderung zum Fallenlassen zuerst fest, ob die IP-Adresse des Endgeräts, welches die Anforderung zum Fallenlassen stellt (Endeinheit 1) zuvor bei dem Anrufkomplex registriert worden ist, z. B. unter Nutzung des Initialisierungsprozesses aus 4. Falls nicht, wird die Anforderung selbst fallen gelassen. Ansonsten nutzt der Anrufkomplex die IP-Adresse des Endgeräts, welches die Anforderung zum Fallenlassen stellt (Endgerät 1), um den entsprechenden Endeinheit-Sitzungsschlüssel zu bestimmen. Der Anrufkomplex erhält dann die Daten der Anforderung zum Fallenlassen durch Entschlüsseln eines Eingangspuffers mit Hilfe des bestimmten Endeinheit-Sitzungsschlüssels, d. h. des Endeinheit-Sitzungsschlüssels SKLST[0], der zuvor für die Kommunikation zwischen der Endeinheit 1 und dem Anrufkomplex authentifiziert worden ist.
  • Die resultierenden Daten der Anforderung zum Fallenlassen befinden sich in ihrer unverschlüsselten Form in dem Klartextpuffer des Anrufkomplexes. Der Anrufkomplex untersucht den Klartextpuffer, um festzustellen, ob die Daten der Anforderung zum Fallenlassen den entsprechenden Endeinheit-Registrierungsnamen für die Endeinheit 1 enthalten, z. B. die Endeinheitkennung, auf die in dem Authentifizierungsprotokoll aus 5 Bezug genommen worden ist. Falls nicht, wird die Anforderung zum Fallenlassen selbst fallen gelassen. Ansonsten wird der Prozess damit fortgeführt, dass der Anrufkomplex die Endeinheit 3 anweist, die Sitzung fallen zu lassen. Diese Anweisung zum Abfallen ist mit Hilfe des Endeinheit-Sitzungsschlüssels SKLST[0] verschlüsselt, der für die Kommunikation zwischen der Endeinheit 3 und dem Anrufkomplex eingerichtet worden ist. Die Endeinheit 3 initiiert dann eine Säuberungsprozedur, wie in der Figur angegeben. Diese beispielhafte Prozedur, die mit Säuberung() bezeichnet ist, kann solche Vorgänge wie das Fallenlassen eines Sitzungsschlüssels, das Löschen von Sitzungsschlüsselinformationen, herkömmliche mit Telefonie verbundene Systemverwaltungsvorgänge usw. umfassen oder anderweitig einbeziehen.
  • Das Herausfallenlassen des Anschlusses 311 aus der bestehenden Rufverbindung zwischen dem Anschluss 105 und dem Anschluss 201 beinhaltet außerdem das Beschaffen eines neuen Sitzungsschlüssels für den Anschluss 105 aus dem Stapel SKLST[105]. Dieser Prozess ist in dem ersten Abschnitt aus 6D dargestellt.
  • Wie in 6D angegeben, generiert der Anrufkomplex einen neuen Endeinheit-zu-Endeinheit-Sitzungsschlüssel EUEUSK-NEU, indem er den nächsten Schlüssel aus dem Stapel SKLST[105] entnimmt. Der Anrufkomplex legt dann als einen neuen Nachrichtenschlüssel den entsprechenden Sitzungsschlüssel für den Anschluss 201 fest, z. B. legt er als den nächsten Sitzungsschlüssel den nächsten Schlüssel in einem Stapel fest, welcher der Sitzungsschlüsselliste SKLST[201] zugeordnet ist, die von der Endeinheit 2 für den Anschluss 201 eingerichtet worden ist.
  • Der Anrufkomplex sendet dann eine Neuer-Sitzungsschlüssel-Aufforderung für einen in verschlüsselter Form an die Endeinheit 2, wie in 6D angegeben. Die an die Endeinheit 2 gesendete Aufforderung ist mit Hilfe des zuvor erwähnten Nachrichtenschlüssels verschlüsselt und enthält bevorzugt die IP-Adresse der Ursprungsendeinheit sowie RTP-Portinformationen (zusammen mit oIP bezeichnet), Kenncodes für das Bestimmungsendgerät (Anschluss 201) und das Ursprungsendgerät (Anschluss 105) sowie den neuen Endeinheit-zu-Endeinheit-Sitzungsschlüssel EUEUSK-NEU.
  • Die Endeinheit 2 überprüft bei Empfang der eingehenden Aufforderung für einen neuen Sitzungsschlüssel von dem Anrufkomplex zuerst, ob die IP-Adresse der eingehenden Aufforderung diejenige des Anrufkomplexes ist. Falls nicht, wird die Aufforderung fallen gelassen. Ansonsten wird der Prozess damit fortgeführt, dass die Endeinheit 2 den Eingangspuffer, welcher die eingehenden Informationen der Aufforderung für einen neuen Sitzungsschlüssel enthält, mit Hilfe des Endeinheit-Sitzungsschlüssels SKLST[0] entschlüsselt, der zwischen der Endeinheit 2 und dem Anrufkomplex in der zuvor beschriebenen Weise eingerichtet worden ist. Wenn der Klartextpuffer, der die entschlüsselten Daten der Aufforderung für einen neuen Sitzungsschlüssel enthält, nicht den Registrierungsnamen der Endeinheit 2 enthält, z. B. den zuvor erwähnten Endeinheit-Kenncode für die Endeinheit 2, wird die Aufforderung fallen gelassen. Ansonsten setzt die Endeinheit 2 als neuen Sitzungsschlüssel für die eingehende Verbindungsanforderung den neuen Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK-NEU fest und sendet eine Bestätigung des neuen Sitzungsschlüssels zurück an den Anrufkomplex. Die Bestätigung ist mit Hilfe des Endeinheit-Sitzungsschlüssels SKLST[0] verschlüsselt, der zuvor für Kommunikationsvorgänge zwischen der Endeinheit 1 und dem Anrufkomplex authentifiziert worden ist.
  • Die Endeinheit 1 fährt dann fort, mit der Endeinheit 2 über verschlüsselte Sprachpakete zu kommunizieren, wie zuvor, aber mit dem neuen Endeinheit-zu-Endeinheit-Sitzungsschlüssel EUEUSK-NEU, der anstatt des vorherigen Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK verwendet wird.
  • Wenn die sichere Kommunikation zwischen dem Anschluss 105 und dem Anschluss 201 beendet werden soll, sendet die Endeinheit 1 eine Ende-der-Sitzung-Anweisung an die Endeinheit 2, die mit Hilfe des neuen Endeinheit-zu-Endeinheit-Sitzungsschlüssels EUEUSK-NEU verschlüsselt ist. Die Endeinheit 2 initiiert dann die zuvor erwähnte Säuberungsprozedur.
  • Die Endeinheit 1 erzeugt dann einen ersten neuen Sitzungsschlüssel für den Anschluss 105, verschlüsselt den ersten neuen Sitzungsschlüssel sowie eine entsprechende Endeinheit-Unternummer EUSN mit Hilfe des geheimen Schlüssels der Endeinheit 1 und sendet das resultierende verschlüsselte Element EUSKe an den Anrufkomplex als eine Aufforderung, einen neuen Sitzungsschlüssel bereitzustellen. Der Anrufkomplex stellt bei Empfang der Aufforderung für einen neuen Sitzungsschlüssel zuerst fest, ob die IP-Adresse der Endeinheit, die den neuen Sitzungsschlüssel sendet (Endeinheit 1) zuvor bei dem Anrufkomplex registriert worden ist, z. B. unter Nutzung des Initialisierungsprozesses aus 4. Falls nicht, wird die eingehende Aufforderung fallen gelassen. Ansonsten nutzt der Anrufkomplex die IP-Adresse der Endeinheit, welche die Aufforderung tätigt (der Endeinheit 1), um den entsprechenden Endeinheit-Sitzungsschlüssel festzustellen. Der Anrufkomplex erhält dann die Daten der Aufforderung für einen neuen Sitzungsschlüssel, indem er einen Eingangspuffer mit Hilfe des bestimmten Endeinheit-Sitzungsschlüssels entschlüsselt, d. h. dem Endeinheit-Sitzungsschlüssel SKLST[0], der zuvor für die Kommunikation zwischen dem Endgerät 1 und dem Anrufkomplex authentifiziert worden ist.
  • Die resultierenden Daten der Aufforderung für einen neuen Sitzungsschlüssel befinden sich in ihrer unverschlüsselten Form in dem Klartextpuffer des Anrufkomplexes. Der Anrufkomplex untersucht den Klartextpuffer, um festzustellen, ob die Daten der Aufforderung für den neuen Sitzungsschlüssel den entsprechenden Endeinheit-Registrierungsnamen für die Endeinheit 1 enthalten, z. B. die Endeinheit-Kennung, auf die in dem Authentifizierungsprotokoll aus 5 Bezug genommen worden ist. Falls nicht, wird die Aufforderung für den neuen Sitzungsschlüssel fallen gelassen. Ansonsten wird der Prozess damit fortgesetzt, dass der Anrufkomplex die Sitzungsschlüsselliste SKLST[105] für den Anschluss 105 aktualisiert, indem er den von der Endeinheit 1 empfangenen neuen Sitzungsschlüssel als den obersten Schlüssel in dem entsprechenden Stapel hinzufügt.
  • 6D gibt an, dass der vorstehend beschriebene Prozess zur Generierung eines neuen Sitzungsschlüssels danach von der Endeinheit 1 und dem Anrufkomplex wiederholt wird. Obgleich in der Figur nur eine einzige Wiederholung gezeigt ist, kann der Prozess zur Generierung eines neuen Sitzungsschlüssels mehr als einmal wiederholt werden, z. B. kann er eine spezielle Anzahl von Malen wiederholt werden, die erforderlich sind, um eine gewünschte minimale Anzahl von Schlüsseln in dem Stapel für die Sitzungsschlüsselliste SKLST[105] des Anschlusses 105 aufrechtzuerhalten.
  • Die vorstehend beschriebenen sicheren Kommunikationsverfahren schützen in vorteilhafter Weise den Anrufkomplex 102, die Endeinheiten 110 und die Endgeräte 112 des Systems 100 vor IP-Spoofing, Denial-of-Service und anderen Attacken. Die Erfindung macht es somit möglich, IP-Verbindungen in einer sicheren und effizienten Weise in einem solchen Rufabwicklungssystem zu implementieren.
  • Wie zuvor erwähnt, können eine oder mehrere der Rufabwicklungsfunktionen, die vorstehend in Verbindung mit den beispielhaften Ausführungsformen der Erfindung beschrieben worden sind, insgesamt oder zum Teil in dem Anrufkomplex 102 implementiert werden, z. B. in einer Rufabwicklungssoftware desselben, die den Prozessor 200 und den Speicher 202 nutzen. Es können auch andere geeignete Kombinationen aus Hardware und/oder Software genutzt werden, um die erfindungsgemäßen Rufabwicklungsfunktionen zu implementieren.
  • Es sei noch einmal betont, dass die vorstehend beschriebenen Ausführungsformen lediglich Beispiele darstellen. Alternative Ausführungsformen können z. B. andere Konfigurationen aus Vermittlungseinrichtung, Netz, Endeinheit und Endgerät, andere Verschlüsselungsverfahren und andere Protokolle zum Einbinden, Fallenlassen, Konferenzschalten oder für andere Rufabwicklungsfunktionen nutzen. Als weiteres Beispiel können die Sitzungsschlüssel innerhalb einer gegebenen Sitzung geändert werden, auf Basis des Ablaufs einer spezifizierten Zeitspanne, z. B. alle 15 Minuten, jede Stunde, usw. Diese und zahlreiche andere alternative Ausführungsformen, die innerhalb des Schutzumfangs der folgenden Ansprüche liegen, werden für Fachleute auf dem Gebiet offensichtlich sein.

Claims (25)

  1. Verfahren zur Nutzung in einem Rufabwicklungssystem (100) zum Bereitstellen sicherer Verbindungen zwischen zwei oder mehr Endeinheiten (110) des Systems über eine Kommunikationsvermittlungseinrichtung (102) des Systems, wobei jede der Endeinheiten zwischen die Kommunikationsvermittlungseinrichtung und ein oder mehrere. Endgeräte (112) des Systems gekoppelt ist, wobei das Verfahren die folgenden Schritte umfasst: Speichern, in einem der Kommunikationsvermittlungseinrichtung zugeordneten Speicher (202), einer Mehrzahl von Sätzen von Sitzungsschlüssellisten, die einen Satz (310) von Sitzungsschlüssellisten (z. B. SKLST[0], SKLST[101], SKLST[102], ... SKLST[1XX]) für jede der Endeinheiten umfassen; Auswählen eines Sitzungsschlüssels aus einer Sitzungsschlüsselliste in einem gegebenen Satz der Sätze von Sitzungsschlüssellisten, der einer Ursprungsendeinheit zugeordnet ist, als Endeinheit-zu-Endeinheit-Sitzungsschlüssel, wobei der ausgewählte Endeinheit-zu-Endeinheit-Sitzungsschlüssel zum Bereitstellen sicherer Verbindungen zwischen der Ursprungsendeinheit und zumindest einer anderen Endeinheit über die Kommunikationsvermittlungseinrichtung genutzt wird; wobei den Endeinheiten jeweils eine Mehrzahl von Endgeräten zugeordnet sind, wobei eine gegebene der Endeinheiten derart konfiguriert ist, dass sie eine Schnittstelle zwischen den ihr zugeordneten Endgeräten und der Kommunikationsvermittlungseinrichtung bereitstellt; wobei der gegebene Satz von Sitzungsschlüssellisten, welcher der Ursprungsendeinheit zugeordnet ist, Sitzungsschlüssellisten für jeweilige Endgeräte umfasst, die dieser auslösenden Endeinheit zugeordnet sind; wobei der gegebene Satz von Sitzungsschlüssellisten in der Ursprungsendeinheit erzeugt wird und von der Ursprungsendeinheit zu der Kommunikationsvermittlungseinrichtung übertragen wird, und zwar in Verbindung mit einem Authentifizierungsprotokoll, das zwischen der Ursprungsendeinheit und der Kommunikationsvermittlungseinrichtung ausgeführt wird.
  2. Verfahren nach Anspruch 1, wobei der gegebene Satz der Sätze von Sitzungsschlüssellisten in Form einer Datenstruktur gespeichert wird, die zumindest ein erstes Sitzungsschlüsselelement und eine Mehrzahl von stapelbasierten Sitzungsschlüssellisten umfasst, wobei jede der stapelbasierten Sitzungsschlüssellisten eine Mehrzahl von Sitzungsschlüsseln umfasst, die einem bestimmten Endgerät zugeordnet sind, das mit der Ursprungsendeinheit gekoppelt ist.
  3. Verfahren nach Anspruch 2, wobei das erste Sitzungsschlüsselelement bei der Bereitstellung eines sicheren Kommunikationsvorgangs zwischen der Ursprungsendeinheit und der Kommunikationsvermittlungseinrichtung genutzt wird.
  4. Verfahren nach Anspruch 2, wobei der ausgewählte Sitzungsschlüssel aus einer bezeichneten Liste der Mehrzahl von stapelbasierten Sitzungsschlüssellisten ausgewählt wird, die einem bestimmten Endgerät entspricht, welches die sicheren Verbindungen über die Ursprungsendeinheit ausgelöst hat.
  5. Verfahren nach Anspruch 4, bei welchem bei Beendigung der sicheren Verbindungen, die von dem bestimmten Endgerät eingeleitet worden sind, die entsprechende Ursprungsendeinheit zumindest einen zusätzlichen Sitzungsschlüssel generiert, welcher zu der für dieses Endgerät vorgesehenen stapelbasierten Sitzungsschlüsselliste hinzugefügt wird und welcher an die Kommunikationsvermittlungseinrichtung zur Speicherung geliefert wird, wobei der zusätzliche Sitzungsschlüssel beim Bereitstellen nachfolgender sicherer Verbindungen zwischen der Ursprungsendeinheit und zumindest einer weiteren Endeinheit genutzt wird.
  6. Verfahren nach Anspruch 1, wobei der Satz von Sitzungsschlüssellisten für die Ursprungsendeinheit von dieser Ursprungsendeinheit in verschlüsselter Form an die Kommunikationsvermittlungseinrichtung geliefert wird, und zwar als Teil des Authentifizierungsprotokolls, das zwischen dieser Ursprungsendeinheit und der Kommunikationsvermittlungseinrichtung ausgeführt wird.
  7. Verfahren nach Anspruch 1, wobei ein erstes Sitzungsschlüsselelement des Satzes von Sitzungsschlüssellisten genutzt wird, um sichere Verbindungen zwischen der Ursprungsendeinheit und der Kommunikationsvermittlungseinrichtung nach Beendigung des Authentifizierungsprotokolls bereitzustellen.
  8. Verfahren nach Anspruch 1, wobei eine bestimmte Liste der Sitzungsschlüssellisten, die einem bestimmten Endgerät zugeordnet ist, das mit der Ursprungsendeinheit gekoppelt ist, zur Nutzung bei der Bereitstellung sicherer Verbindungen für eine von dem bestimmten Endgerät abgehende Rufverbindung ausgewählt wird.
  9. Verfahren nach Anspruch 8, wobei zumindest ein zusätzliches Endgerät, das mit einer anderen Endeinheit gekoppelt ist, den ausgewählten Sitzungsschlüssel nutzt, um an der Rufverbindung teilzunehmen, die von dem bestimmten Endgerät abgeht.
  10. Verfahren nach Anspruch 9, wobei das zusätzliche Endgerät ein entsprechendes Bestimmungsendgerät des von dem bestimmten Endgerät abgehenden Rufs umfasst.
  11. Verfahren nach Anspruch 9, wobei das zusätzliche Endgerät ein zusätzliches Endgerät umfasst, das nach Verbindung des Anrufs mit dem Bestimmungsendgerät in die von dem bestimmten Endgerät abgehende Rufverbindung in Konferenzschaltung eingebunden wird.
  12. Verfahren nach Anspruch 11, wobei ein neuer Sitzungsschlüssel aus der dem bestimmten Endgerät zugeordneten Sitzungsschlüsselliste ausgewählt wird, nachdem das zusätzliche Endgerät, das in Konferenzschaltung eingebunden worden ist, nachfolgend aus der Rufverbindung herausgefallen ist.
  13. Vorrichtung zur Nutzung in einem Rufabwicklungssystem (100) zum Bereitstellen sicherer Verbindungen zwischen zwei oder mehr Endeinheiten (110) des Systems über eine Kommunikationsvermittlungseinrichtung (102) des Systems, wobei jede der Endeinheiten zwischen die Kommunikationsvermittlungseinrichtung und ein oder mehrere Endgeräte (112) des Systems gekoppelt ist, wobei die Vorrichtung umfasst: einen Speicher (202), welcher der Kommunikationsvermittlungseinrichtung zugeordnet ist und dazu dient, eine Mehrzahl von Sätzen von Sitzungsschlüssellisten zu speichern, die einen Satz (310) von Sitzungsschlüssellisten (z. B. SKLST[0], SKLST[101], SKLST[102], ... SKLST[1XX]) für jede der Endeinheiten umfassen; und einen Prozessor (200), welcher mit dem Speicher verbunden ist, wobei der Prozessor dazu dient, einen Sitzungsschlüssel aus einer Sitzungsschlüsselliste in einem gegebenen Satz der Sätze von Sitzungsschlüssellisten, der einer Ursprungsendeinheit zugeordnet ist, als Endeinheit-zu- Endeinheit-Sitzungsschlüssel auszuwählen, wobei der ausgewählte Endeinheit-zu-Endeinheit-Sitzungsschlüssel zum Bereitstellen sicherer Verbindung zwischen der Ursprungsendeinheit und zumindest einer anderen Endeinheit über die Kommunikationsvermittlungseinrichtung genutzt wird; wobei den Endeinheiten jeweils eine Mehrzahl von Endgeräten zugeordnet sind, wobei eine gegebene der Endeinheiten derart konfiguriert ist, dass sie eine Schnittstelle zwischen den ihr zugeordneten Endgeräten und der Kommunikationsvermittlungseinrichtung bereitstellt; wobei der gegebene Satz von Sitzungsschlüssellisten, welcher der Ursprungsendeinheit zugeordnet ist, Sitzungsschlüssellisten für jeweilige Endgeräte umfasst, die dieser Ursprungsendeinheit zugeordnet sind; wobei die Ursprungsendeinheit derart konfiguriert ist, dass sie den gegebenen Satz von Sitzungsschlüssellisten generiert und den gegebenen Satz von Sitzungsschlüssellisten von der auslösenden Endeinheit zu der Kommunikationsvermittlungseinrichtung überträgt, und zwar in Verbindung mit einem Authentifizierungsprotokoll, das zwischen der auslösenden Endeinheit und der Kommunikationsvermittlungseinrichtung ausgeführt wird.
  14. Vorrichtung nach Anspruch 13, wobei die Vorrichtung derart konfiguriert ist, dass sie den gegebenen Satz der Sätze von Sitzungsschlüssellisten in Form einer Datenstruktur speichert, die zumindest ein erstes Sitzungsschlüsselelement und eine Mehrzahl von stapelbasierten Sitzungsschlüssellisten umfasst, wobei jede der stapelbasierten Sitzungsschlüssellisten eine Mehrzahl von Sitzungsschlüsseln umfasst, die einem bestimmten Endgerät zugeordnet sind, das mit der Ursprungsendeinheit verbunden ist.
  15. Vorrichtung nach Anspruch 14, wobei die Vorrichtung derart konfiguriert ist, dass sie das erste Sitzungs schlüsselelement bei der Bereitstellung einer sicheren Verbindung zwischen der Ursprungsendeinheit und der Kommunikationsvermittlungseinrichtung nutzt.
  16. Vorrichtung nach Anspruch 14, wobei die Vorrichtung derart konfiguriert ist, dass sie den auszuwählenden Sitzungsschlüssel aus einer bezeichneten Liste der Mehrzahl von stapelbasierten Sitzungsschlüssellisten auswählt, die einem bestimmten Endgerät entspricht, welches die sicheren Verbindungen über die Ursprungsendeinheit eingeleitet hat.
  17. Vorrichtung nach Anspruch 16, bei welcher bei Beendigung der sicheren Verbindungen, die von dem bestimmten Endgerät eingeleitet worden sind, die entsprechende Ursprungsendeinheit derart konfiguriert ist, dass sie zumindest einen zusätzlichen Sitzungsschlüssel generiert, welcher zu der für dieses Endgerät vorgesehenen stapelbasierten Sitzungsschlüsselliste hinzugefügt wird und welcher an die Kommunikationsvermittlungseinrichtung zur Speicherung geliefert wird, wobei der zusätzliche Sitzungsschlüssel beim Bereitstellen nachfolgender sicherer Verbindungen zwischen der Ursprungsendeinheit und zumindest einer weiteren Endeinheit genutzt wird.
  18. Vorrichtung nach Anspruch 13, wobei die Vorrichtung derart konfiguriert ist, dass sie den Satz von Sitzungsschlüssellisten für die Ursprungsendeinheit von dieser Ursprungsendeinheit in verschlüsselter Form an die Kommunikationsvermittlungseinrichtung liefert, und zwar als Teil des Authentifizierungsprotokolls, das zwischen dieser Ursprungsendeinheit und der Kommunikationsvermittlungseinrichtung ausgeführt wird.
  19. Vorrichtung nach Anspruch 13, wobei die Vorrichtung derart konfiguriert ist, dass sie ein erstes Sitzungs schlüsselelement des Satzes von Sitzungsschlüssellisten nutzt, um sichere Verbindungen zwischen der Ursprungsendeinheit und der Kommunikationsvermittlungseinrichtung nach Beendigung des Authentifizierungsprotokolls bereitzustellen.
  20. Vorrichtung nach Anspruch 13, wobei die Vorrichtung derart konfiguriert ist, dass sie eine bestimmte Liste der Sitzungsschlüssellisten, die einem bestimmten Endgerät zugeordnet ist, das mit der Ursprungsendeinheit verbunden ist, zur Nutzung bei der Bereitstellung sicherer Kommunikationsvorgänge für eine von dem bestimmten Endgerät abgehende Rufverbindung auswählt.
  21. Vorrichtung nach Anspruch 20, wobei zumindest ein zusätzliches Endgerät, das mit einer anderen Endeinheit verbunden ist, derart konfiguriert ist, dass es den ausgewählten Sitzungsschlüssel nutzt, um an der Rufverbindung teilzunehmen, die von dem bestimmten Endgerät abgeht.
  22. Vorrichtung nach Anspruch 21, wobei das zusätzliche Endgerät ein entsprechendes Bestimmungsendgerät des von dem bestimmten Endgerät abgehenden Anrufs umfasst.
  23. Vorrichtung nach Anspruch 21, wobei das zusätzliche Endgerät ein zusätzliches Endgerät umfasst, das derart konfiguriert ist, dass es nach Verbindung des Anrufs mit dem Bestimmungsendgerät in die von dem bestimmten Endgerät ausgehende Rufverbindung in Konferenzschaltung eingebunden wird.
  24. Vorrichtung nach Anspruch 23, wobei die Vorrichtung derart konfiguriert ist, dass sie einen neuen Sitzungsschlüssel aus der dem bestimmten Endgerät zugeordneten Sitzungsschlüsselliste auswählt, nachdem das zusätzliche Endgerät, das in Konferenzschaltung eingebunden worden ist, nachfolgend aus der Rufverbindung herausgefallen ist.
  25. Produktionserzeugnis, das ein maschinenlesbares Speichermedium (202) zur Speicherung eines oder mehrerer Programme umfasst, und zwar zur Nutzung in einem Rufabwicklungssystem (100) zum Bereitstellen sicherer Verbindungen zwischen zwei oder mehr Endeinheiten (110) des Systems über eine Kommunikationsvermittlungseinrichtung (102) des Systems, wobei jede der Endeinheiten zwischen die Kommunikationsvermittlungseinrichtung und ein oder mehrere Endgeräte (112) des Systems gekoppelt ist, wobei das eine oder die mehreren Programme, wenn sie ausgeführt werden, folgende Schritte implementieren: Speichern, in einem der Kommunikationsvermittlungseinrichtung zugeordneten Speicher (202), einer Mehrzahl von Sätzen von Sitzungsschlüssellisten, die einen Satz (310) von Sitzungsschlüssellisten (z. B. SKLST[0], SKLST[101], SKLST[102], ... SKLST[1XX]) für jede der Endeinheiten umfassen; Auswählen eines Sitzungsschlüssels aus einer Sitzungsschlüsselliste in einem gegebenen Satz der Sätze von Sitzungsschlüssellisten, der einer Ursprungsendeinheit zugeordnet ist, als Endeinheit-zu-Endeinheit-Sitzungsschlüssel, wobei der ausgewählte Endeinheit-zu-Endeinheit-Sitzungsschlüssel zum Bereitstellen sicherer Verbindungen zwischen der Ursprungsendeinheit und zumindest einer anderen Endeinheit über die Kommunikationsvermittlungseinrichtung genutzt wird; wobei den Endeinheiten jeweils eine Mehrzahl von Endgeräten zugeordnet sind, wobei eine gegebene der Endeinheiten derart konfiguriert ist, dass sie eine Schnittstelle zwischen den ihr zugeordneten Endgeräten und der Kommunikationsvermittlungseinrichtung bereitstellt; wobei der gegebene Satz von Sitzungsschlüssellisten, welcher der Ursprungsendeinheit zugeordnet ist, Sitzungsschlüssellisten für jeweilige Endgeräte umfasst, die dieser Ursprungsendeinheit zugeordnet sind; wobei der gegebene Satz von Sitzungsschlüssellisten in der Ursprungsendeinheit erzeugt wird und von der Ursprungsendeinheit zu der Kommunikationsvermittlungseinrichtung übertragen wird, und zwar in Verbindung mit einem Authentifizierungsprotokoll, das zwischen der Ursprungsendeinheit und der Kommunikationsvermittlungseinrichtung ausgeführt wird.
DE60210575T 2002-01-10 2002-12-13 Verfahren und System zur sicheren Internet Kommunikation in einem Verbindungsverarbeitungssystem Expired - Lifetime DE60210575T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US43589 1979-05-29
US10/043,589 US7213145B2 (en) 2002-01-10 2002-01-10 Method and apparatus for secure internet protocol communication in a call processing system

Publications (2)

Publication Number Publication Date
DE60210575D1 DE60210575D1 (de) 2006-05-24
DE60210575T2 true DE60210575T2 (de) 2007-04-05

Family

ID=21927932

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60210575T Expired - Lifetime DE60210575T2 (de) 2002-01-10 2002-12-13 Verfahren und System zur sicheren Internet Kommunikation in einem Verbindungsverarbeitungssystem

Country Status (10)

Country Link
US (1) US7213145B2 (de)
EP (1) EP1328101B1 (de)
JP (1) JP3943034B2 (de)
KR (1) KR100918920B1 (de)
CN (1) CN100435508C (de)
BR (1) BR0203432A (de)
CA (1) CA2391198C (de)
DE (1) DE60210575T2 (de)
IL (1) IL151402A (de)
MX (1) MXPA03000271A (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220247730A1 (en) * 2021-01-29 2022-08-04 Apple Inc. Electronic conferencing

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030233456A1 (en) * 2002-06-14 2003-12-18 Nortel Networks Limited Communication between call controllers by amending call processing messages
US20040158704A1 (en) * 2003-02-12 2004-08-12 Avaya Technology Corp. Providing encrypted real time data transmissions on a network
JP3983708B2 (ja) * 2003-04-22 2007-09-26 株式会社リコー ファクシミリ装置
DE10355418B4 (de) * 2003-11-27 2008-04-03 Siemens Ag Sicherheitsmodul zum Verschlüsseln eines Telefongesprächs
HU226781B1 (en) 2004-03-01 2009-10-28 Miklos Jobbagy Device set for secure direct information transmission over internet
HU226184B1 (en) * 2004-07-22 2008-06-30 Zoltan Kallo Dual-port digital data transmission public network for continuously monitored multipurpose telemechanical and communication interconnection of geographically scattered end-points
US20060159269A1 (en) * 2005-01-20 2006-07-20 Matsushita Electric Industrial Co., Ltd. Cryptographic system for resource starved CE device secure upgrade and re-configuration
US7890634B2 (en) * 2005-03-18 2011-02-15 Microsoft Corporation Scalable session management
US7631347B2 (en) * 2005-04-04 2009-12-08 Cisco Technology, Inc. System and method for multi-session establishment involving disjoint authentication and authorization servers
US7562224B2 (en) * 2005-04-04 2009-07-14 Cisco Technology, Inc. System and method for multi-session establishment for a single device
US7840809B2 (en) * 2006-02-24 2010-11-23 Cisco Technology, Inc. Method and system for secure transmission of an encrypted media stream across a network
WO2008021041A2 (en) * 2006-08-07 2008-02-21 Id Rank Security, Inc. Systems and methods for conducting secure wired and wireless networked telephony
US20100316219A1 (en) * 2007-08-06 2010-12-16 David Boubion Systems and methods for simultaneous integrated multiencrypted rotating key communication
US7986773B2 (en) * 2006-08-29 2011-07-26 Cisco Technology, Inc. Interactive voice response system security
JP5288087B2 (ja) * 2007-06-11 2013-09-11 日本電気株式会社 秘匿通信ネットワークにおける暗号鍵管理方法および装置
US8423470B2 (en) * 2007-09-21 2013-04-16 Microsoft Corporation Distributed secure anonymous conferencing
US20090216837A1 (en) * 2008-02-25 2009-08-27 Microsoft Corporation Secure reservationless conferencing
CN101719825A (zh) * 2009-04-30 2010-06-02 中兴通讯股份有限公司 Ip多媒体子系统中实现安全分叉呼叫会话的方法及系统
CN101729532B (zh) * 2009-06-26 2012-09-05 中兴通讯股份有限公司 一种ip多媒体子系统延迟媒体信息传输方法及系统
US20110119487A1 (en) * 2009-11-13 2011-05-19 Velocite Systems, LLC System and method for encryption rekeying
CN102238500B (zh) * 2010-04-21 2014-07-02 中兴通讯股份有限公司 一种实现安全呼叫转移的方法及系统
CN103002439B (zh) * 2011-09-13 2015-06-17 联芯科技有限公司 保密通话的通信方法及用户终端
US20130343543A1 (en) * 2012-06-25 2013-12-26 Mocana Corporation User experience and method for promoting a low-assurance call to a high-assurance call on a calling device
US9391953B2 (en) * 2014-07-23 2016-07-12 Motorola Solutions, Inc. Method, device, and system for notifying mobile stations participating in a non-LLE call of new LLE call
US9843446B2 (en) * 2014-10-14 2017-12-12 Dropbox, Inc. System and method for rotating client security keys
US9584493B1 (en) * 2015-12-18 2017-02-28 Wickr Inc. Decentralized authoritative messaging
JP6456451B1 (ja) * 2017-09-25 2019-01-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信装置、通信方法、及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4578530A (en) * 1981-06-26 1986-03-25 Visa U.S.A., Inc. End-to-end encryption system and method of operation
JPH0522283A (ja) 1991-02-20 1993-01-29 C Ee T V Kiban Gijutsu Kenkyusho:Kk 秘話通信方式
JP2808512B2 (ja) 1992-09-30 1998-10-08 日本電信電話株式会社 秘話通信システム
US5410602A (en) * 1993-09-27 1995-04-25 Motorola, Inc. Method for key management of point-to-point communications
US5483596A (en) * 1994-01-24 1996-01-09 Paralon Technologies, Inc. Apparatus and method for controlling access to and interconnection of computer system resources
JP3595109B2 (ja) * 1997-05-28 2004-12-02 日本ユニシス株式会社 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体
US6275573B1 (en) * 1998-06-02 2001-08-14 Snapshield Ltd. System and method for secured network access
US20030046534A1 (en) * 2001-08-31 2003-03-06 Alldredge Robert L. Method and apparatus for secured electronic commerce

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220247730A1 (en) * 2021-01-29 2022-08-04 Apple Inc. Electronic conferencing
US12028385B2 (en) 2021-01-29 2024-07-02 Apple Inc. Electronic conferencing

Also Published As

Publication number Publication date
US20030131236A1 (en) 2003-07-10
EP1328101A3 (de) 2004-05-26
EP1328101B1 (de) 2006-04-12
JP3943034B2 (ja) 2007-07-11
CN1437350A (zh) 2003-08-20
CA2391198C (en) 2006-08-15
BR0203432A (pt) 2004-05-25
IL151402A0 (en) 2003-04-10
US7213145B2 (en) 2007-05-01
EP1328101A2 (de) 2003-07-16
MXPA03000271A (es) 2005-02-14
KR100918920B1 (ko) 2009-09-28
JP2004007397A (ja) 2004-01-08
KR20030061292A (ko) 2003-07-18
CN100435508C (zh) 2008-11-19
IL151402A (en) 2007-12-03
CA2391198A1 (en) 2003-07-10
DE60210575D1 (de) 2006-05-24

Similar Documents

Publication Publication Date Title
DE60210575T2 (de) Verfahren und System zur sicheren Internet Kommunikation in einem Verbindungsverarbeitungssystem
DE60011875T2 (de) System und verfahren zum ermöglichen sicherer verbindungen für h.323 voip anrufe
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE69839033T2 (de) Virtuelle Anrufzentrale
DE60131833T2 (de) Verfahren und vorrichtung zum austausch von informationen in einem kommunikationssystem
DE112010004619B4 (de) Bestimmung der Verfügbarkeit von Identitäteninformationen und deren Übergabe in Peer-to-Peer-Netzwerken
DE3919734C1 (de)
DE60316769T2 (de) Verfahren und Modul zur Sicherung von paketbasierenden Kommunikationen durch Adressensprung
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
EP1345395A1 (de) Verfahren zum Abhören von Kommunikationsverbindungen
DE60036848T2 (de) Verfahren und Vorrichtungen zur Überwachung eines Internetprotokollnetzwerkes
DE69733574T2 (de) Authentifizierung zwischen kommunikationspartnern in einem telekommunikationsnetzwerk
EP1687962A1 (de) Sicherheitsmodul zum verschlüsseln eines telefongesprächs
DE10085359B3 (de) Kommunikationssystem und darin verwendetes Verfahren
EP2443852B1 (de) Verfahren zur schnellen und sicheren übertragung eines verschlüsselungsschlüssels
DE102021204883A1 (de) Erkennung des audiomodus der gegenseite
EP2027670B1 (de) Verfahren zum absichern von ip verbindungen für netzbetreiberzusammenschaltungen
EP1929748A1 (de) Abwesenheitsassistenzsystem für multimediafähige kommunikationssysteme
WO2007059944A1 (de) Sichere voice-over-ip-telefonie
EP1912406A2 (de) Kryptographische Berechnungen für VoIP-Verbindungen
DE102016100576B4 (de) Sitzungsverbesserung für sip-netz-randelement
DE102018117611B3 (de) Verschlüsselungssystem für Telefongespräche
EP1152566B1 (de) Verfahren zum Aufbau einer gesicherten Verbindung sowie Kommunikationsendgerät hierzu
EP1238527B1 (de) Wahlweiser verbindungsaufbau über ein fernsprechnetz oder über das internet
DE102004029568A1 (de) Vorrichtung zum Herstellen einer Kommunikationsverbindung wechselweise über ein Telefon- oder über ein Datennetz

Legal Events

Date Code Title Description
8364 No opposition during term of opposition